Resim: Bing Image Creator
ESET kötü amaçlı yazılım araştırmacıları, Google Play Store'da on binlerce yükleme ile bir Android ekran kayıt uygulamasında gizlenmiş yeni bir uzaktan erişim Trojan (sıçan) buldular.
Eylül 2021'de mağazaya ilk eklenirken, 'Irecorder - Screen Recorder' uygulaması, Ağustos 2022'de neredeyse bir yıl sonra yayınlanan kötü niyetli bir güncelleme ile büyük olasılıkla troşalandı.
Uygulamanın adı, istek, bir ekran kayıt aracının beklenen özellikleriyle eşleştiğinden, enfekte cihazlarda ses ve erişim dosyalarını kaydetme izni istemeyi kolaylaştırdı.
Kaldırılmadan önce, uygulama Google Play Store'da 50.000'den fazla kurulum topladı ve kullanıcıları kötü amaçlı yazılım enfeksiyonlarına maruz bıraktı.
ESET kötü amaçlı yazılım araştırmacısı Lukas Stefanko, "Irecorder'ın kötü niyetli davranışı ile ilgili bildirimimizin ardından Google Play güvenlik ekibi bunu mağazadan kaldırdı." Dedi.
"Bununla birlikte, uygulamanın alternatif ve gayri resmi Android pazarlarında da bulunabileceğini belirtmek önemlidir. Irecoder geliştiricisi Google Play'de başka uygulamalar da sağlar, ancak kötü amaçlı kod içermez."
ESET tarafından Ahrat adlı söz konusu kötü amaçlı yazılım, Ahmyth olarak bilinen açık kaynaklı bir Android sıçanına dayanmaktadır.
Enfekte cihazların konumunu izlemek, çağrı günlüklerini, kişileri ve metin mesajlarını çalmak, SMS mesajları göndermek, fotoğraf çekmek ve arka plan sesini kaydetmek dahil ancak bunlarla sınırlı olmamak üzere çok çeşitli özelliklere sahiptir.
Daha yakından incelendiğinde, ESET, kötü amaçlı ekran kaydı uygulamasının kendisinin, yalnızca ortam ses kayıtları oluşturmak ve dışarı açmak ve belirli uzantılarla dosyaları çalmak için kullanıldığı için, potansiyel casusluk faaliyetlerini ima etmek için sadece sıçanın yeteneklerinin bir alt kümesini kullandığını buldu.
Bu, Google Play Store'a sızan Ahmyth tabanlı Android kötü amaçlı yazılımların ilk örneği değildir. ESET ayrıca 2019 yılında, bir radyo akışı uygulaması olarak maskelenerek Google'ın uygulama veting sürecini iki kez kandıran başka bir Ahmyth-Trojanize uygulamasında ayrıntıları yayınladı.
Stefanko, "Daha önce, açık kaynaklı Ahmyth, sosyal mühendislik tekniklerini kapsamlı kullanımı ve Güney Asya'daki hükümet ve askeri örgütleri hedeflemekle bilinen bir siber sorumluluk grubu olan APT36 olarak da bilinen şeffaf kabile tarafından kullanıldı." Dedi.
"Bununla birlikte, mevcut örnekleri belirli bir gruba atayamayız ve bilinen bir gelişmiş kalıcı tehdit (APT) grubu tarafından üretildiklerine dair hiçbir belirti yok."
Güncelleme: Bir Google sözcüsü, makale yayınlandıktan sonra aşağıdaki ifadeyi paylaştı:
Politikalarımızı ihlal eden uygulamalar bulduğumuzda, uygun önlemleri alıyoruz. Kullanıcılar ayrıca, Android cihazlarda tanımlanmış kötü amaçlı uygulamalar konusunda kullanıcıları uyarabilen Google Play Protect tarafından da korunur.
NPM paketleri, nodej'leri taklit eden Türkorat ikili işler sunarken yakalandı
Siber suçlu çetesi, kötü amaçlı yazılımlarla milyonlarca Android cihazını önceden enfekte ediyor
Yeni Android Fluhorse kötü amaçlı yazılım şifrelerinizi çalıyor, 2FA Kodları
Google Play'e 600 bin kez yüklü yeni Fleckpe Android kötü amaçlı yazılım
Yeni Lobshot kötü amaçlı yazılım, bilgisayar korsanlarına Windows cihazlarına gizli VNC erişimini sağlar
Kaynak: Bleeping Computer